Segnalazione a cura dell'avvocato Cassazionista Viviana Fiorella Liuzzi già inviata a Namirial S.p.A. e all'AgID relativa a firma digitale remota ed OTP
Pubblicato da Viviana Fiorella Liuzzi Avvocato Cassazionista Ordine degli Avvocati di Roma e Abogado Ilustre Colegio de abogados de Alcalá de Henares in Comunicazioni dell'Avv. Viviana Fiorella Liuzzi · Martedì 20 Set 2022
Tags: Firma, digitale, Agenzia, Italia, Digitale, Namirial, agid, OTP, password, temporanee, che, scadono, alcuni, secondi, dopo, essere, state, generate, numeri, telemarketing
Tags: Firma, digitale, Agenzia, Italia, Digitale, Namirial, agid, OTP, password, temporanee, che, scadono, alcuni, secondi, dopo, essere, state, generate, numeri, telemarketing
20 Settembre 2022
Segnalazione e richiesta a cura dell'Avv. Cassazionista Viviana Fiorella Liuzzi relativa a firma digitale
Lo scorso 13 settembre ho segnalato quanto potete vedere nel link di seguito http://www.studioliuzzieliuzzi.com/blog/index.php?otp-firma-digitale-non-funziona-sms-numeri-telemarketing
ed ho provveduto ad inviare formalmente, tramite PEC, la medesima segnalazione a Namirial S.p.A. inoltrandola per conoscenza all'Agid.
In data 13/09/2022 ho ricevuto dall'indirizzo PEC firmacerta@sicurezzapostale.it (che non è quello di Namirial e risultante dai pubblici registri ) una risposta con il seguente contenuto:
“Gentile cliente,
Le ricordiamo che l'indirizzo email corretto per richiedere assistenza per il servizio di firma digitale, è il seguente:
supportoca@namirial.com (indirizzo email ordinario)
basta inviare una segnalazione (tramite email ordinaria e non pec ) a supportoca@namirial.com, in modo tale da fornirle una corretta assistenza.
Cordiali saluti.
Namirial S.p.A “
Le ricordiamo che l'indirizzo email corretto per richiedere assistenza per il servizio di firma digitale, è il seguente:
supportoca@namirial.com (indirizzo email ordinario)
basta inviare una segnalazione (tramite email ordinaria e non pec ) a supportoca@namirial.com, in modo tale da fornirle una corretta assistenza.
Cordiali saluti.
Namirial S.p.A “
In pari data ho contestato integralmente, inoltrando la copia anche all'Agid e chiedendo all'AGID un intervento per la sicurezza informatica di noi cittadini.
L'AGID ha protocollato le mie richieste come si vede dalle foto.
Screenshot protocollazione effettuata dall'AgID
Screenshot protocollazione effettuata dall'AgID
In data 19/09/2022 ho ricevuto una risposta da Namirial s.p.A, che ho già contestato integralmente in data odierna.
Namirial S.p.A. ha asserito tra le altre che “ Preme innanzitutto rappresentare che il codice OTP (One Time Password) attraverso il quale si perfeziona l’apposizione di una firma digitale di tipo remoto, per ragioni di sicurezza, viene trasmesso per un massimo di n. 2 invii all’ora (da due diversi operatori contrattualizzati da Namirial così da garantire il successo dell’invio), a prescindere dal numero di volte in cui il titolare del certificato di firma digitale possa cliccare sul bottone “invia OTP”. Si da altresì atto che il codice OTP resta invariato, fin tanto che non viene utilizzato per perfezionare il processo di apposizione di firma digitale.”
Ho contestato quanto asserito da Namirial S.p.A. evidenziando che:
“Diversamente da quanto Voi asserito tramite PEC, sul sito della Vostra Società si indica chiaramente che
“La Firma Digitale Remota è una tipologia di Firma che non richiede l’utilizzo di smart card o di un hardware dedicato, perché si basa su OTP, ovvero password temporanee che scadono alcuni secondi dopo essere state generate” - ossia scadono pochi secondi dopo essere state generate, anche se non utilizzate- “eliminando quindi i rischi relativi all’utilizzo delle password statiche.”
Quindi nella Vostra PEC state dicendo esattamente il contrario di quanto indicato sul Vostro sito (ed ho la prova del fatto che, in passato mi avete inviato diverse OTP, non utilizzate e generate una dopo l'altra, dopo pochi secondi e non due sole OTP nell'arco di un'ora).”
Peraltro sarebbe contrario ad ogni forma di sicurezza la generazione di codici OTP per un massimo di due invii all'ora. Immaginiamo che un avvocato, con atti in scadenza, 30 minuti prima della mezzanotte di uno specifico giorno cercasse di firmare digitalmente, ma ritenesse di non poter utilizzare il codice OTP per ragioni di sicurezza propria e del proprio cliente...non potrebbe più firmare entro la mezzanotte e dovrebbe attendere un'ora prima di poter avere un nuovo codice OTP. Quindi in concreto presenterebbe l'atto fuori termine. Questo sarebbe gravissimo.
Namirial S.p.A ha poi asserito nella PEC inviata:
“Premesso tutto quanto sopra, veniamo ora ad analizzare il caso di specie.
La prima richiesta di invio OTP per sottoscrizione con il Suo certificato di firma digitale remota perveniva alle ore 09.58 del 13.09.22, cui seguiva il contestuale invio di n. 2 SMS verso la Sua utenza (entrambi risultati andati a buon fine) contenenti il codice OTP necessario per perfezionare la sottoscrizione digitale.
Per completezza, si precisa che risultavano da Lei effettuati ulteriori 68 tentativi di richiesta di invio OTP che tuttavia, essendo intervenuti nel periodo di un’ora dalla prima richiesta, non davano luogo all’invio di nuovi SMS (in accordo al flusso dettagliato in premessa).
In pari data, alle ore 19.10, veniva registrata una nuova richiesta di sottoscrizione con firma digitale remota con codice OTP correttamente inoltrato attraverso l’invio di n. 2 SMS. Anche in questa circostanza, gli ulteriori 37 tentativi di invio OTP da Lei effettuati tra le 19.10 e le 19.15 si rivelavano inefficaci in quanto il sistema già censiva il corretto invio per n. 2 volte dell’OTP tramite SMS alla Sua utenza telefonica.
Ho contestato integralmente ciò evidenziando che:
“Per quanto riguarda il mio caso concreto, contesto integralmente la ricostruzione dei fatti da Voi riportata, non conforme alla realtà fattuale e di cui già Vi avevo informato.
Io ho ricevuto nell'arco di 9 ore , per tre volte la stessa OTP, come si vede dalla foto allegata (ho anche video e testimoni di ciò)”
Infine Namirial s.p.A. nella PEC ha asserito:
“Con riferimento al mittente degli SMS da Lei ricevuti per conto della scrivente, da una verifica interna appare sempre presente l’alias “NamirialTSP”
Quanto asserito da Namirial è falso.
Per cui ho evidenziato nella mia contestazione:
“Come si evince dalla foto allegata, gli SMS- contenenti, nell'arco di 9 ore, sempre la stessa OTP,-sono arrivati due sole volte dall'alias Namirial e poi da numeri di telefono privi di alias.
E poi non ho ricevuto ulteriori OTP, quindi non ho più potuto utilizzare la firma digitale remota Namirial e questo non accadeva prima.
Peraltro, come già segnalatoVi, l'SMS ricevuto dal numero di tel. 3701201771 (che potete vedere nella foto) risulta segnalato on line quale operatore di telemarketing.
Quando si prova a chiamare tale numero si sente il risponditore di Tiscali che indica “la persona che stai cercando non è al momento raggiungibile. Prova a chiamare più tardi”.
E quanto sopra accade anche con le altre numerazioni.”
Non posso ovviamente continuare ad utilizzare una firma digitale remota in relazione alla quale mi viene inviato lo stesso codice OTP nell'arco di 9 ore, da numeri privi dell'Alias Namirial e senza la possibilità di avere nuovi codici OTP diversamente da quanto offerto da Namirial all'utente, questo non è sicuro né per me né per i miei clienti”
La mia risposta è stata inviata anche all'Agid,
chiedendo un intervento a tutela di noi cittadini e di quanto sta accadendo ho già informato
il Consiglio dell'Ordine degli Avvocati di Roma e il Consiglio Nazionale Forense.
Nelle foto di seguito è possibile vedere le foto (sono in possesso di ulteriori prove) che attestano quanto da me asserito.
Chiedo a chiunque abbia riscontrato le medesime problematiche di scrivermi avvocatovivianafiorellaliuzzi@outlook.com
2022- Copyright Studio legale internazionale Liuzzi e Liuzzi- www.studioliuzzieliuzzi.comPer contattare lo Studio premere qui.Il contenuto presente sul sito www.studioliuzzieliuzzi.com (Studio legale e tributario internazionale LIUZZI e LIUZZI) è puramente informativo e non costituisce attività di consulenza professionale legale o tributaria tra professionista e cliente.************************************************************************************************************